Как аппаратные кошельки заботятся о безопасности пользователей

Многие криптовалютные энтузиасты используют аппаратные кошельки для хранения цифровых валют. Популярные устройства имеют очень мало уязвимостей, и те, которые всё-таки существуют, связаны в основном с атакой посредника (MITM).

На минувшей неделе Satoshi Labs, чешский производитель аппаратного кошелька Trezor, рассказал о мерах безопасности при обработке и доставке заказов. После получения оплаты компания готовит устройство к отправке через службу доставки DHL. Satoshi Labs подчёркивает, что изначально Trezor не имеют загруженной на них прошивки. Корпус Trezor подвергается ультразвуковой сварке. Это означает, что если его целостность будет нарушена, то его будет трудно восстановить.

Французский производитель аппаратных кошельков Ledger утверждает, что в их протоколе используется «децентрализованная система кошелька». Подобно Trezor, кошелёк Ledger генерирует закрытые ключи во время процесса инициализации, а хранятся ключи на самом устройстве. Компания заверяет, что Ledger никаким образом не может скопировать личные ключи пользователей.

В процессе инициализации оба кошелька используют мнемоническую фразу (последовательность 24 случайных слов). Если вы потеряете аппаратный кошелёк или он будет повреждён или украден, эта фраза может быть использована для доступа к криптовалютам, хранящимся на устройстве. Кроме того, она используется для получения доступа к активам через другой кошелек, а также в случае, если компания прекратит поддержу своих устройств:

Если компания Ledger перестанет работать, приложение Chrome Ledger, скорее всего, также перестанет функционировать, поскольку наши серверы API будут остановлены. Однако ваши биткоины останутся в полной безопасности при наличии фразы для восстановления. С вашими 24 словами вы можете в любое время переместить свой баланс на другой BIP 39.

Напомним, что Ledger недавно анонсировала новые приложения для своих аппаратных кошельков, которые будут работать под macOS, Windows и Linux без участия Chrome.

На втором этапе компания планирует внедрить мобильные приложения для Android и iOS, которые будут поддерживать более 100 виртуальных валют. Более того, интеграция сторонних приложений позволит пользователям покупать и продавать цифровые валюты на биржах.

Компания также работает над сетевым решением для обновления платформы Ledger Manager. Новая функция направлена на повышение удобства использования: она будет предоставлять владельцам устройств информацию о прошивке, обновлении приложений, обзор валют и прочие сведения при подключении к компьютеру. Ожидается поддержка браузеров Google Chrome, Opera и Chromium.

В недавно опубликованном отчёте DocDroid утверждалось, что каждое устройство Ledger может подвергнуться атаке MITM, когда пользователь генерирует биткоин-адрес для перевода криптовалюты на свой кошелёк. В этом процессе задействован компьютер пользователя, который теоретически может быть заражён вредоносным ПО, а значит, злоумышленник может подменить код, перенаправив все средства на собственный адрес.

Разработчики Ledger не оставили это предупреждение без внимания. Для предотвращения такой атаки они порекомендовали пользователям каждый раз после генерации внимательно проверять адрес для приёма криптовалюты на физическом экране Ledger.